ISA SERVER 2006 访问规则

               ISA Server2006 的访问规则过程

网络规则 ：定义和描述网络的拓扑结构，这个规则用于决定两个网络间具有的是什么关系。是路由还是 NAT ，以及哪一种路由被定义为 NAT 。正确选择网络对象和它们之间的关系对于 ISA2006 是尤为重要的啊 。

系统策略规则 ：内置 30 条“从 / 到”的访问策略，这些策略只是“允许”规则，只可以启动或禁用，以及对少量策略的属性进行少量的修改。

防火墙策略规则 ：进行自定义用户规则的列表。这是一个经过排序的简单列表，包含了良好总可能的规则类型：访问规则和发布规则。在此列表的最后有一条默认规则： Deny 4 all (Deny all users use all protocols from all networks to all networks) 这个规则不允许修改或删除。因此，对于任何允许或阻止的访问请求都由 ISA 的一条明确规则来完成。主要作用是控制源网络和目标网络之间的通讯，防火墙策略和系统策略可以看作是两个策略列表的集合

   网络规则优先于系统策略规则，系统策略规则优先于防火墙策略规则 。

           ISA 对一个用户发出的出站请求是这样进行处理的：首先， ISA 检查两个网路间所具有的网络关系，如果源网络和目标网络之间定义了关系，则 ISA 进行下一步检查。否则，拒绝。其次， ISA 按顺序检查系统策略和防火墙策略。如果两个策略规则允许了出站请求， ISA SERVER 将进一步处理出站请求。否则，拒绝。最后 ISA SERVER 在次检查网络规则以确定数据包的出站方式，如果是 Web Proxy 客户端请求出站， ISA SERVER 检查 Web 链路规则，来确定出站请求如何处理。如下图所示：

                                

下面是几种 ISA 客户端类型的不同点。以及如何进行出站请求和是否支持身份验证：

ISA客户类型	如何发送请求	是否支持身份验证
Web代理客户	根据用户的输入使用FQDN或者I地址	YES (HTT/HTTS/封装的FT)
防火墙客户	总是使用I地址	YES (所有基于TC/UD的协议)
Snat客户	总是使用I地址	NO

   

备注：对于所有的非 Http/https 请求来说是正确的。对于 WEB 代理客户， HTTP 主机头的值依赖于用户的输入。对于防火墙客户发送的请求方式将决定 ISA 是否执行正向或反向 DNS 解析以将客户的请求匹配到某个访问规则。所以，有一个 DNS 是很重要的，

  以上图形来源于风间子老师作品

   那么客户的访问请求怎样才能匹配系统策略规则和防火墙策略规则呢？这是我们所要考虑的问题。客户请求的访问主要是匹配访问策略中的策略元素，下面是所有的策略元素：

1.       协议：访问规则中为出站方向定义的主要连接端口范围，可以为一个或多个协议。

2.       源网络：发起请求的一个或多个网络，

3.       计划时间：定义策略生效的时间。

4.       目标网络：连接到的一个或多个的目标网络，

5.       用户：一个或多个用户对象。主要包括所有用户、所有经过身份验证的用户、系统和网络服务用户

6.       内容类型：定义的任何内容类型。

  如果用户创建了一个访问规则而不能达到自己的要求，请不要埋怨防火墙，因为防火墙是没有大脑的，要好好检查自己的规则是否是自己想要达到的目的。如果创建了一个拒绝策略规则我建议一定要作一个显式的，而且拒绝规则要放在允许规则前面。规则放置的位置不同 ISA 执行的效果是不同的。